KR100561628B1 - Method for detecting abnormal traffic in network level using statistical analysis - Google Patents
Method for detecting abnormal traffic in network level using statistical analysis Download PDFInfo
- Publication number
- KR100561628B1 KR100561628B1 KR1020030081833A KR20030081833A KR100561628B1 KR 100561628 B1 KR100561628 B1 KR 100561628B1 KR 1020030081833 A KR1020030081833 A KR 1020030081833A KR 20030081833 A KR20030081833 A KR 20030081833A KR 100561628 B1 KR100561628 B1 KR 100561628B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- network
- characteristic
- traffic data
- abnormal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야1. TECHNICAL FIELD OF THE INVENTION
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis and a computer readable recording medium having recorded thereon a program for realizing the method.
2. 발명이 해결하려고 하는 기술적 과제2. The technical problem to be solved by the invention
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.The present invention extracts the characteristic traffic data used for abnormal traffic detection by integrating the traffic data collected from each network equipment on the network into network-level total traffic data, and then compares it with the characteristic traffic data profile which is a statistical model in a steady state for a short time. An object of the present invention is to provide an abnormal traffic detection method at the network level using statistical analysis for detecting abnormal traffic in a computer, and a computer-readable recording medium recording a program for realizing the method.
3. 발명의 해결방법의 요지3. Summary of Solution to Invention
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.The present invention provides a method for detecting abnormal traffic at a network level using statistical analysis, comprising: a first step of collecting traffic data from each network device of a network at predetermined time intervals and integrating the traffic data into network-wide traffic data; Extracting characteristic traffic data from the total traffic data at the network level; A third step of comparing the extracted characteristic traffic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is not the abnormal traffic, update (update) the characteristic traffic data profile using the extracted traffic characteristic data, and if the abnormal traffic, analyze the severity of the current traffic and the information on the analysis result and the abnormal traffic. The fourth step of monitoring the.
4. 발명의 중요한 용도4. Important uses of the invention
본 발명은 네트워크 보안 시스템 등에 이용됨.The present invention is used in a network security system and the like.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석Anomaly traffic detection, characteristic traffic data, characteristic traffic data profile, network level, statistical analysis
Description
도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도,1 is a diagram illustrating an exemplary traffic detection method in a conventional network;
도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도,2 is a diagram illustrating an exemplary traffic detection method at a network level using statistical analysis according to the present invention;
도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method for detecting an abnormal traffic at a network level using statistical analysis according to the present invention.
* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings
210 : 네트워크 장비 211 : 네트워크 보안 시스템(NSS)210: network equipment 211: network security system (NSS)
212 : 로컬 도메인212: local domain
본 발명은 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 네트워크의 성능을 저하시키는 사이버 공격 또는 네트워크 구성 및 운용상의 결함 등으로 인하여 발생하는 이상 트래픽을 단시간내에 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis and to a computer readable recording medium recording a program for realizing the method, and more particularly to a cyber attack or a network that degrades the performance of the network. The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis for detecting abnormal traffic generated due to a defect in configuration and operation, and a computer-readable recording medium recording a program for realizing the method. will be.
일반적으로, 네트워크상에서 발생한 이상 트래픽을 감지하는 방법은 현재 수집한 트래픽량과 통계적으로 생성된 정상 상태를 나타내는 트래픽량의 비교값 또는 비교 그래프 등을 모니터링하여 관리자가 상기 모니터링된 비교값과 비교 그래프를 경험적으로 분석함으로써, 현재 네트워크상에 발생한 트래픽이 이상 트래픽인지의 여부를 판단하게 된다. In general, a method for detecting abnormal traffic generated on a network includes monitoring a comparison value or a graph of a traffic amount indicating a statistically generated normal state with the amount of traffic currently collected and the administrator to compare the monitored comparison value with a graph. By empirical analysis, it is determined whether the traffic generated on the current network is abnormal.
여기서, 이상 트래픽이란 네트워크의 성능을 저하시킬 수 있는 데이터들이 비정상적으로 증가하여 네트워크의 흐름을 방해하는 상태를 의미하며, 그 원인으로는 사이버 공격에 의한 직간접적인 영향 또는 네크워크 구성 및 운용상의 결함 또는 클라이언트들의 과다 접속 등으로 발생한다. Here, abnormal traffic refers to a state in which abnormally increased data that can degrade the network performance can interfere with the flow of the network, and can be caused by a direct or indirect effect caused by a cyber attack or a defect in network configuration and operation or a client. It is caused by excessive connection.
도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.1 is a diagram illustrating an exemplary traffic detection method in a conventional network.
도 1 에 도시된 바와 같이, 하나의 네트워크(ISP 1: Internet Service Provider 1)는 다수의 로컬 도메인(112), 타 네트워크(ISP 2), 상기 네트워크(ISP 1)와 로컬 도메인 또는 상기 네트워크(ISP 1)와 타 네트워크(ISP 2)를 연결하는 다수의 네트워크 장비(일예로 라우터)(110) 및 상기 네트워크(ISP 1)를 관리하기 위한 네트워크 관리 서버(NMS: Network Management Server)(111)를 포함한다.As shown in FIG. 1, one network (ISP 1: Internet Service Provider 1) includes a plurality of
여기서, 도 1 을 참조하여 종래의 네트워크상에서 이상 트래픽 감지 방법에 대해 살펴보면, 먼저 상기 네트워크 장비(110)에는 관리 에이전트가 설치되어 있어 노드 또는 특정 도메인 또는 링크상에서 처리되는 트래픽 데이터(정보)를 수집하는 기능을 한다.Here, referring to FIG. 1, a method for detecting an abnormal traffic in a conventional network will be described. First, a management agent is installed in the
이후, 네트워크 관리 서버(111)는 네트워크상의 각 네트워크 장비(110)로부터 트래픽 데이터를 수집하여, 관리 콘솔을 통하여 해당 트래픽 정보를 관리자에게 보고하게 된다. Thereafter, the
이후, 과다 트래픽 발생 여부는 관리자가 네트워크 관리 서버가 보고하는 트래픽 데이터를 바탕으로 하여 과거 경험에 의해 직관적으로 판단하게 된다. Thereafter, whether or not excessive traffic occurs is determined by the administrator based on past experience based on the traffic data reported by the network management server.
이러한 종래의 네트워크상에서 이상 트래픽 감지 방법은, 수집하는 트래픽량이 대부분 특정 로컬 도메인(특정 링크 또는 특정 노드)에서 발생하는 단순 트래픽량만을 대상으로 하는 경우가 대부분이고, 관리자가 현재 발생한 트래픽이 해당 네트워크의 성능을 저하시킬 수 있는 트래픽(이상 트래픽)인지, 아닌지의 여부를 판단하기 때문에 단시간내에 정확한 판단을 할 수 없다는 문제점이 있다. In such a conventional network, anomalous traffic detection methods mostly target only simple traffic generated from a specific local domain (a specific link or a specific node), and the traffic currently generated by the administrator There is a problem in that it is not possible to make an accurate judgment in a short time because it is determined whether or not traffic (abnormal traffic) may degrade performance.
본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하는, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The present invention has been proposed in order to solve the above problems, by integrating the traffic data collected from each network equipment on the network into the overall traffic data of the network level, after extracting the characteristic traffic data used for abnormal traffic detection statistical model of the steady state To provide an abnormal traffic detection method at the network level using statistical analysis that detects abnormal traffic in a short time compared to the traffic characteristic traffic data profile and a computer-readable recording medium recording a program for realizing the method. There is this.
Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. In addition, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.
상기 목적을 달성하기 위한 본 발명의 방법은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함하는 것을 특징으로 한다.The method of the present invention for achieving the above object, in the abnormal traffic detection method at the network level using statistical analysis, by collecting the traffic data from each network equipment of the network at a predetermined time interval to the entire traffic data of the network level A first step of integrating; Extracting characteristic traffic data from the total traffic data at the network level; A third step of comparing the extracted traffic characteristic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is determined that the abnormal traffic is not abnormal traffic, update the characteristic traffic data profile using the extracted traffic characteristic data, and if abnormal traffic, analyze the severity of the current traffic and provide information about the analysis result and the abnormal traffic. And a fourth step of monitoring.
한편, 본 발명은, 프로세서를 구비한 이상 트래픽 감지 시스템에, 소정의 시 간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention, the abnormal traffic detection system having a processor, the first function of collecting the traffic data from each network equipment of the network at a predetermined time interval and integrates the total traffic data at the network level; A second function of extracting characteristic traffic data from the total traffic data at the network level; A third function of comparing the extracted traffic characteristic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is determined that the abnormal traffic is not abnormal traffic, update the characteristic traffic data profile using the extracted traffic characteristic data, and if abnormal traffic, analyze the severity of the current traffic and provide information about the analysis result and the abnormal traffic. A computer readable recording medium having recorded thereon a program for realizing a fourth function of monitoring is provided.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.2 is a diagram illustrating an exemplary traffic detection method at a network level using statistical analysis according to the present invention.
도 2 에 도시된 바와 같이, 이상 트래픽 감지 모듈을 장착한 네트워크 보안 시스템(NSS: Network Security System)(211)은 네트워크 장비(일예로 라우터)(210)를 통해 다수의 로컬 도메인(212) 또는 타 네크워크(ISP 2)와 연결되어 있다. 이 때, 상기 네트워크 장비(210)는 네트워크상의 로컬 도메인(링크) 또는 타 네트워크(ISP2)로부터 트래픽 데이터(정보)를 수집하는 기능을 수행한다.As shown in FIG. 2, a network security system (NSS) 211 equipped with an anomaly traffic detection module is connected to a plurality of
여기서, 도 2 를 참조하여 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대해 살펴보면, 본 발명은 네트워크 보안 시스템(211) 등에 적용되어 네트워크상의 각 네트워크 장비(210)로부터 주기적으로 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하고 상기 통합된 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출한 후, 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽을 감지한다. Here, referring to FIG. 2, the abnormal traffic detection method at the network level using statistical analysis according to the present invention is applied to the
이 때, 상기 네트워크 수준의 전체 트래픽 데이터에서 특성 트래픽 데이터를 추출하는 기준은, 일예로 응용 서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출하거나, 동일한 크기를 가진 패킷분포에 따라 추출하거나, 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수 등에 따라 추출할 수 있다.At this time, the criterion for extracting the characteristic traffic data from the total traffic data of the network level, for example, according to the application port that is differently assigned according to the type of application service, or according to the packet distribution having the same size, The source address may be extracted according to the number of source-destination pairs based on a pattern in which a source address of a traffic destined for a specific destination increases rapidly.
또한, 트래픽 데이터 수집은 기존의 네트워크 관리 시스템에서와 같이 일반적으로 네트워크 노드상에 설치되는, 네트워크 관리 에이전트를 장착한 네트워크 장비(일예로 라우터)의 트래픽 수집 기능을 이용하여 기존 네트워크상에서 이용되는 네트워크 장비의 교체없이 트래픽 데이터를 수집한다. In addition, traffic data collection is network equipment used on an existing network by using the traffic collection function of a network device (for example, a router) equipped with a network management agent, which is generally installed on a network node as in a conventional network management system. Collect traffic data without replacement.
또한, 네트워크 보안 시스템은 타 네트워크 보안 기능을 수행할 수 있으며, 이상 트래픽 감지 측면에서 수행할 기능은 통계 분석 모듈을 탑재함으로써, 일정 주기로 트래픽 데이터를 수집하고 정상 상태의 통계적 트래픽 특성과 비교 분석하여 이상 트래픽을 감지하는 기능을 수행한다. 이 때, 현재 수집된 트래픽이 이상 트래픽으로 판단되면 현재 발생한 트래픽이 얼마나 심각한지를 분석하고, 그 결과를 데이터로 생성한다. In addition, the network security system can perform other network security functions, and the function to be performed in terms of abnormal traffic detection is equipped with a statistical analysis module, which collects traffic data at regular intervals and compares it with the statistical traffic characteristics in a normal state. It detects traffic. At this time, if it is determined that the currently collected traffic is abnormal traffic, it analyzes how severe the current traffic is, and generates the result as data.
이후, 상기 데이터는 추후 네트워크 보안 시스템의 타 보안 기능과 결합하여 관리자에게 보고용으로 사용될 수도 있고, 네트워크 보안 시스템의 보안 대응 기능과 결합하여 네트워크상에서 자동적인 대응이 이루어지도록 할 수도 있다.Thereafter, the data may be used for reporting to the administrator in combination with other security functions of the network security system later, or may be automatically combined with the security response function of the network security system.
도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method for detecting an abnormal traffic at a network level using statistical analysis according to the present invention.
먼저, 사용자로부터 이상 트래픽이 발생했을 경우의 심각도 유의 수준, 트래픽 분석 주기, 분석 결과의 처리 방식 등의 실행 환경을 설정받는다. 물론, 데이터 베이스에는 최근까지 통계적으로 생성한 특성 트래픽 데이터 프로파일이 저장되어 있다.First, an execution environment such as a severity level of significance, a traffic analysis cycle, and an analysis result processing method is set by a user. Of course, the database stores characteristic traffic data profiles statistically generated until recently.
이후, 소정의 시간 간격으로 각 네트워크의 장비(210)로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합한다(301, 302).Thereafter, the traffic data is collected from the
이후, 상기 네트워크 수준의 전체 트래픽 데이터로부터 상기 언급한 소정의 추출 기준에 따라 특성 트래픽 데이터를 추출한다(303).Thereafter, the characteristic traffic data is extracted from the total traffic data at the network level according to the above-mentioned predetermined extraction criteria (303).
이후, 상기 추출한 트래픽 특성 데이터를 정상 상태의 트래픽을 모델링하여 파라미터화한 특성 트래픽 데이터 프로파일과 비교하여 현재 트래픽이 이상 트래픽인지 정상 트래픽인지를 판단한다(304, 305).Thereafter, the extracted traffic characteristic data is compared with a parameterized characteristic traffic data profile by modeling steady state traffic to determine whether the current traffic is abnormal traffic or normal traffic (304, 305).
상기 판단결과(305), 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터을 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고 일정시간 대 기한 후 상기 "301" 과정으로 진행하여 이후의 과정을 수행한다(306). 이러한 과정은 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정으로 보다 정확한 이상 트래픽 감지를 위해 꼭 필요한 과정이라 할 수 있다.In the determination result 305, if the traffic is not abnormal, the characteristic traffic data profile is updated (updated) by using the extracted traffic characteristic data, waits for a predetermined time, and then proceeds to step “301” to perform the subsequent process (306). ). This process is a process of statistically databaseing various steady-state traffic, which is necessary for more accurate detection of abnormal traffic.
상기 판단결과(305), 이상 트래픽이면 상기 기 설정된 심각도 유의 수준에 따라 현재 발생한 트래픽의 심각도를 분석하고(307), 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링한다(308). 이 때, 상기 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템 등으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 할 수도 있다.In the determination result 305, the abnormal traffic is analyzed according to the preset severity level of significance (307), and the information about the analysis result and the abnormal traffic is monitored (308). In this case, the analysis result and the information on the abnormal traffic may be transmitted to the abnormal traffic processing system to be used for efficient abnormal traffic processing.
이처럼 본 발명은 주기적으로 네트워크상에 발생하는 트래픽을 검사하여 이상 트래픽을 감지한다.As such, the present invention periodically detects abnormal traffic by inspecting traffic occurring on the network.
또한, 본 발명은, 네트워크 장비(210)로부터 직접 특성 트래픽 데이터를 수집하여 이상 트래픽을 감지할 수도 있다. 하지만, 이러한 방법은 네트워크 장비(210)의 부하를 가중시키는 역효과가 있을 수 있다.In addition, the present invention may detect abnormal traffic by collecting characteristic traffic data directly from the
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.
상기와 같은 본 발명은, 네트워크상에서 발생하는 트래픽 전체에 대해 특성 트래픽 데이터를 추출하여 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교함으로써, 효율적 빠른 시간내에 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.The present invention as described above, by extracting the characteristic traffic data for all the traffic generated on the network and compared with the characteristic traffic data profile, which is a statistical model of a steady state, there is an effect that can detect abnormal traffic in a fast and efficient time .
또한, 본 발명은, 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정을 통해 관리자의 개입없이 자동으로 보다 다양한 형태의 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.In addition, the present invention, through the process of statistically database the various steady-state traffic has an effect that can automatically detect more various types of abnormal traffic without the intervention of the administrator.
또한, 본 발명은, 이상 트래픽 처리 시스템에 적용되어 네트워크의 기능이 마비되기 전에 이상 트래픽을 처리할 수 있도록 하는 효과가 있다.
In addition, the present invention is applied to the abnormal traffic processing system has the effect of being able to process the abnormal traffic before the function of the network is paralyzed.
Claims (4)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030081833A KR100561628B1 (en) | 2003-11-18 | 2003-11-18 | Method for detecting abnormal traffic in network level using statistical analysis |
US10/749,502 US20050108377A1 (en) | 2003-11-18 | 2003-12-31 | Method for detecting abnormal traffic at network level using statistical analysis |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030081833A KR100561628B1 (en) | 2003-11-18 | 2003-11-18 | Method for detecting abnormal traffic in network level using statistical analysis |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050048019A KR20050048019A (en) | 2005-05-24 |
KR100561628B1 true KR100561628B1 (en) | 2006-03-20 |
Family
ID=34567806
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020030081833A KR100561628B1 (en) | 2003-11-18 | 2003-11-18 | Method for detecting abnormal traffic in network level using statistical analysis |
Country Status (2)
Country | Link |
---|---|
US (1) | US20050108377A1 (en) |
KR (1) | KR100561628B1 (en) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4479459B2 (en) * | 2004-10-19 | 2010-06-09 | 横河電機株式会社 | Packet analysis system |
KR100639969B1 (en) * | 2004-12-02 | 2006-11-01 | 한국전자통신연구원 | Apparatus for abnormal traffic control and method thereof |
KR100628328B1 (en) * | 2005-03-10 | 2006-09-27 | 한국전자통신연구원 | Apparatus and method of adaptive prevention on attack |
US7730531B2 (en) * | 2005-04-15 | 2010-06-01 | Microsoft Corporation | System and method for detection of artificially generated system load |
US7908357B2 (en) * | 2005-09-21 | 2011-03-15 | Battelle Memorial Institute | Methods and systems for detecting abnormal digital traffic |
KR100726352B1 (en) * | 2006-03-28 | 2007-06-08 | 중앙대학교 산학협력단 | Analyzeing system of network traffic according to variable communication's mass and analyzeing method thereof |
KR100798755B1 (en) * | 2006-05-17 | 2008-01-29 | 주식회사 제이컴정보 | Threats management system and method thereof |
KR100793633B1 (en) * | 2006-08-16 | 2008-01-10 | 전자부품연구원 | Device and method of providing traffic conditioning |
US20080080365A1 (en) * | 2006-09-28 | 2008-04-03 | Weeresinghe Ranjith Thomas Mah | Wireless Access Point Failover System and Method |
FR2932043B1 (en) * | 2008-06-03 | 2010-07-30 | Groupe Ecoles Telecomm | METHOD FOR TRACEABILITY AND RESURGENCE OF PUSH-STARTED FLOWS ON COMMUNICATION NETWORKS, AND METHOD FOR TRANSMITTING INFORMATION FLOW TO SECURE DATA TRAFFIC AND ITS RECIPIENTS |
WO2011113386A2 (en) * | 2011-04-26 | 2011-09-22 | 华为技术有限公司 | Method and apparatus for network traffic simulation |
CN103164318B (en) * | 2011-12-13 | 2016-07-20 | 中国银联股份有限公司 | The automatic health examination method and apparatus of on-line system |
MY172616A (en) * | 2013-03-13 | 2019-12-06 | Telekom Malaysia Berhad | A system for analysing network traffic and a method thereof |
KR101383069B1 (en) * | 2013-05-27 | 2014-04-08 | 한국전자통신연구원 | Apparatus and method for detecting anomalous state of network |
US10560842B2 (en) | 2015-01-28 | 2020-02-11 | Verint Systems Ltd. | System and method for combined network-side and off-air monitoring of wireless networks |
IL238001B (en) * | 2015-03-29 | 2020-05-31 | Verint Systems Ltd | System and method for identifying communication session participants based on traffic patterns |
EP3131252B1 (en) * | 2015-08-12 | 2018-09-26 | NATEK Technologies GmbH | Method and system for network intrusion detection |
IL245299B (en) | 2016-04-25 | 2021-05-31 | Verint Systems Ltd | System and method for decrypting communication exchanged on a wireless local area network |
US10812348B2 (en) * | 2016-07-15 | 2020-10-20 | A10 Networks, Inc. | Automatic capture of network data for a detected anomaly |
CN106452868B (en) * | 2016-10-12 | 2019-04-05 | 中国电子科技集团公司第三十研究所 | A kind of network flow statistic implementation method for supporting various dimensions polymerization classification |
IL252037B (en) | 2017-04-30 | 2021-12-01 | Verint Systems Ltd | System and method for identifying relationships between users of computer applications |
IL252041B (en) | 2017-04-30 | 2020-09-30 | Verint Systems Ltd | System and method for tracking users of computer applications |
CN107547533B (en) * | 2017-08-24 | 2020-10-13 | 新华三信息安全技术有限公司 | Feature rule opening method and device |
JP6792532B2 (en) * | 2017-09-01 | 2020-11-25 | 日本電信電話株式会社 | Anomaly detection device and abnormality detection method |
IL254438B (en) | 2017-09-07 | 2021-12-01 | Verint Systems Ltd | System and method for decrypting communication over a umts network |
IL256690B (en) | 2018-01-01 | 2022-02-01 | Cognyte Tech Israel Ltd | System and method for identifying pairs of related application users |
KR102150622B1 (en) * | 2018-03-02 | 2020-10-26 | 주식회사 케이티 | System and method for intelligent equipment abnormal symptom proactive detection |
NL2020632B1 (en) * | 2018-03-20 | 2019-09-30 | Forescout Tech B V | Attribute-based policies for integrity monitoring and network intrusion detection |
CN108833310B (en) * | 2018-06-12 | 2020-11-13 | 国网江苏省电力有限公司无锡供电分公司 | Switch with artificial intelligence analysis |
CN110380914A (en) * | 2019-08-22 | 2019-10-25 | 北京世纪互联宽带数据中心有限公司 | A kind of flux monitoring method and system |
WO2021084439A1 (en) | 2019-11-03 | 2021-05-06 | Verint Systems Ltd. | System and method for identifying exchanges of encrypted communication traffic |
WO2021207984A1 (en) * | 2020-04-15 | 2021-10-21 | 深圳市欢太科技有限公司 | Traffic detection method and apparatus, server, and storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010053769A (en) * | 1999-12-01 | 2001-07-02 | 이계철 | Device for extracting packet network traffic and traffic characteristics using data warehousing methodology and method thereof |
KR20040063494A (en) * | 2003-01-08 | 2004-07-14 | 주식회사 케이티 | Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof |
KR20040083682A (en) * | 2003-03-24 | 2004-10-06 | 학교법인 포항공과대학교 | A system for monitoring multi-media service traffic and method thereof |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2337903B (en) * | 1998-05-28 | 2000-06-07 | 3Com Corp | Methods and apparatus for collecting storing processing and using network traffic data |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US7120934B2 (en) * | 2000-03-30 | 2006-10-10 | Ishikawa Mark M | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network |
US6738811B1 (en) * | 2000-03-31 | 2004-05-18 | Supermicro Computer, Inc. | Method and architecture for monitoring the health of servers across data networks |
JP2002281086A (en) * | 2001-03-19 | 2002-09-27 | Kddi Corp | Traffic monitoring method and its system |
AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
US7062553B2 (en) * | 2001-12-04 | 2006-06-13 | Trend Micro, Inc. | Virus epidemic damage control system and method for network environment |
NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
US20040205419A1 (en) * | 2003-04-10 | 2004-10-14 | Trend Micro Incorporated | Multilevel virus outbreak alert based on collaborative behavior |
US20040225877A1 (en) * | 2003-05-09 | 2004-11-11 | Zezhen Huang | Method and system for protecting computer system from malicious software operation |
-
2003
- 2003-11-18 KR KR1020030081833A patent/KR100561628B1/en not_active IP Right Cessation
- 2003-12-31 US US10/749,502 patent/US20050108377A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010053769A (en) * | 1999-12-01 | 2001-07-02 | 이계철 | Device for extracting packet network traffic and traffic characteristics using data warehousing methodology and method thereof |
KR20040063494A (en) * | 2003-01-08 | 2004-07-14 | 주식회사 케이티 | Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof |
KR20040083682A (en) * | 2003-03-24 | 2004-10-06 | 학교법인 포항공과대학교 | A system for monitoring multi-media service traffic and method thereof |
Also Published As
Publication number | Publication date |
---|---|
US20050108377A1 (en) | 2005-05-19 |
KR20050048019A (en) | 2005-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100561628B1 (en) | Method for detecting abnormal traffic in network level using statistical analysis | |
US11805143B2 (en) | Method and system for confident anomaly detection in computer network traffic | |
US9794272B2 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
KR100617310B1 (en) | Apparatus for detecting abnormality of traffic in network and method thereof | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
KR100748246B1 (en) | Multi-step integrated security monitoring system and method using intrusion detection system log collection engine and traffic statistic generation engine | |
JP2010511359A (en) | Method and apparatus for network anomaly detection | |
KR20080066653A (en) | Method and apparatus for whole-network anomaly diagnosis and methods to detect and classify network anomalies using traffic feature distributions | |
EP3138008B1 (en) | Method and system for confident anomaly detection in computer network traffic | |
CN110191004B (en) | Port detection method and system | |
KR101336458B1 (en) | System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof | |
CN115001877A (en) | Big data based information security operation and maintenance management system and method | |
CN102104606B (en) | Worm detection method of intranet host | |
KR20190047809A (en) | Ict equipment management system and method there of | |
Proença et al. | Anomaly detection for network servers using digital signature of network segment | |
KR101469283B1 (en) | The enterprise network analysis system and its method | |
KR101351660B1 (en) | Traffic perception apparatus and method using integral calculus | |
CN110572381A (en) | intelligent learning system and method applied to electric power safety protection device | |
JP3782319B2 (en) | Network analyzer | |
Kim et al. | Network traffic anomaly detection based on ratio and volume analysis | |
KR20110001674A (en) | Method for determining abnormality of traffic | |
KR20090072436A (en) | Internet traffic analysis processing system | |
CN107968721B (en) | Method for actively releasing server, network management and control system and managed and controlled terminal | |
KR20090038123A (en) | System and method for network management, storage medium recording that metho program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20100226 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |